Bulletin d'alerte Debian

DLA-262-1 libcrypto++ -- Mise à jour de sécurité pour LTS

Date du rapport :
30 juin 2015
Paquets concernés :
libcrypto++
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2141.
Plus de précisions :

Evgeny Sidorov a découvert que libcrypto++, une bibliothèque généraliste de cryptographie en C++, n'implémentait pas correctement l'aveuglement (« blinding ») pour masquer les opérations de clé privée pour l'algorithme de signature numérique Rabin-Williams. Cela pourrait permettre à des attaquants distants de monter une attaque temporelle et de récupérer la clé privée de l'utilisateur.